Cifrado de publicaciones de Wordpress

4

He estado buscando hacer un blog de Wordpress completamente privado y he encontrado blogs / tutoriales útiles en el camino que me han ayudado, como tutorial muy detallado de David Hewsons .

Actualmente tengo un sistema instalado (en línea) que es agradable y privado y que requiere credenciales de inicio de sesión para acceder al blog, ahora aquí está el problema. Me preocupa que si mi servidor web es pirateado de alguna manera (no voy a ignorar el hecho de que esto pueda ocurrir) y se acceda a mi base de datos, se podrán ver todas mis publicaciones, y así se derrotará todo el frente. Fin del trabajo de privación.

He buscado soluciones prefabricadas para cifrar las publicaciones en sí mismas, pero todavía no existe nada. Lo que necesito es una ayuda en la dirección correcta para escribir un complemento de Wordpress, ya que no tengo ni idea de por dónde empezar. Para codificar complementos en Wordpress, cualquier enlace de ayuda / tutorial sería apreciado.

Tengo un conocimiento bastante extenso de PHP / MySQL aunque no en la forma de Wordpress de API, etc.

    
pregunta Snaver 27.09.2010 - 20:44

5 respuestas

3

Por lo que sé, lo que pides no es realmente posible con WordPress (o cualquier aplicación PHP simple) solo. Es el mismo dilema que con las credenciales de la base de datos en WP: si se piratea el FTP, el pirata informático obtiene el inicio de sesión / contraseña de la base de datos desde wp-config.php . Es imposible protegerlos porque WordPress (o cualquier otra aplicación PHP) los necesita para acceder a la base de datos. Incluso si se almacenan encriptados en algún momento, tendrán que ser descifrados.

Lo mismo con las publicaciones, incluso si las publicaciones cifradas se almacenan en la base de datos en algún momento, WordPress deberá descifrarlas. Si WordPress puede descifrarlos, entonces la persona que hackeó la cuenta.

Probablemente pueda separar de alguna manera las claves de la instalación de WordPress, pero eso es simplemente cambiar el problema. Ahora todavía tiene que pensar en proteger las claves para que no sean hackeadas / filtradas, están en otro lugar.

    
respondido por el Rarst 27.09.2010 - 20:56
1

Así que quieres un sistema que cifra el texto antes de que ingrese a la base de datos, y lo descifra antes de que salga de la base de datos. Si no desea guardar la contraseña en el servidor, deberá encontrar una forma de proporcionarla a través del navegador cada vez que realice una solicitud que necesite datos cifrados.

Podrías hacer esto en PHP, pero quizás también en JavaScript. Si simplificamos la pregunta al requerir solo el cifrado del contenido de la publicación y no otros datos (título, fechas, ...), probablemente podría conectar su código a un evento TinyMCE en el lado del administrador, que solicita su contraseña (o la recuerda en Almacenamiento local u otro lugar seguro que no salga de su computadora), descifra el texto antes se muestra en el editor y, a continuación, se encripta cuando se guarda. De esta manera, todo lo que WordPress ve es texto cifrado. (Es probable que deba deshabilitar todos los tipos de filtros de contenido para que no se modifique nada en el servidor).

En la parte pública de tu blog, puedes hacer lo mismo: enviar un bloque de datos cifrados al cliente y descifrarlo con JavaScript.

Este esquema es viable si usted es el único que lee y escribe, de lo contrario, necesitaría una forma de compartir el cifrado, pero que todos tengan contraseñas diferentes y demás. Pero si realmente estás en el escenario de un solo usuario, ¿estás seguro de que WordPress es el mejor medio para tu trabajo? ¿Quizás Evernote u otra solución para tomar notas con soporte para cifrado funcionaría mejor?

    
respondido por el Jan Fabry 28.09.2010 - 12:04
1

Puedo sugerirle echar un vistazo a este sitio. Soy nuevo en WordPress y todavía no he configurado mi propio blog de WordPress. Sin embargo, mientras investigaba el inicio de mi propio blog, yo también quería tener la capacidad de cifrar ciertas publicaciones del blog.

Después de buscar en Google, me topé con este sitio web enlace

Básicamente, las publicaciones del blog se cifran utilizando JavaScript y PHP. De forma predeterminada, las publicaciones están cifradas en AES de 128 bits, pero al volver a compilar PHP puede agregar compatibilidad con AES de 256 bits. Todavía no he comenzado a crear mi propio blog de WordPress porque quiero ver si hay alguna manera de integrar la idea de Vincent en WordPress de alguna manera.

Al crear un complemento basado en el trabajo de Vincent, las publicaciones podrían cifrarse dentro de WordPress sin tener que visitar su sitio, cifrar la publicación y luego pegar el texto / código resultante en una publicación de WordPress.

Cuando las publicaciones se descifran, todo sucede en el lado del cliente. La contraseña o la clave de descifrado nunca se envían al servidor, todo el descifrado ocurre en el lado del cliente a través de JavaScript. Esto significa que incluso si un pirata informático controlara su base de datos, no podría leer las publicaciones cifradas, porque la clave no está almacenada en la base de datos.

Aunque soy experto en PHP, todavía no sé lo suficiente sobre cómo escribir buenos complementos de WordPress para crear un complemento, sin embargo ...

    
respondido por el Casey 26.10.2011 - 17:30
0

Exactamente; todo puede ser descifrado por una clave pública de grupo, posiblemente con varias claves privadas que se mantienen en el lado del cliente.

Como el blog es privado, técnicamente, naturalmente, no es necesario mantener claves privadas en un servidor central que solo almacena datos cifrados.

    
respondido por el Alex Devon 29.12.2012 - 17:16
0

No es 100%, pero esto agregaría una capa de seguridad: podría escribir un complemento que use base64_encode para cifrar entradas específicas, y luego a la codificación, agregar sal hecha de un hash md5 del nombre de usuario (ya que pueden '' t ser cambiado), o algo por el estilo. base64_decode funciona muy rápido y el usuario probablemente no notaría ningún retraso.

    
respondido por el Anachronous 17.06.2013 - 16:06

Lea otras preguntas en las etiquetas